Minimal berechtigte SAP Rollen erstellen

Autor: Torsten Schmits | 5. September 2018

16

In diesem Blog-Beitrag zeige ich Ihnen, warum und wie Sie mit möglichst wenig Aufwand und der Xiting Authorizations Management Suite ohne Unterbrechung des Tagesgeschäfts minimal berechtigte SAP Rollen aufbauen können.

Viele Unternehmen haben Nutzer in ihrem SAP-System, die mit zu vielen oder sogar kritischen Berechtigungen ausgestattet sind. Aufgrund der schnell steigenden Komplexität im Berechtigungswesen ist es keine einfache Aufgabe, die Berechtigungen eines Nutzers auf ein Minimum zu beschränken, ohne diesen bei seinem Tagesgeschäft zu stören.

Warum benötige ich minimal berechtigte SAP Rollen für meine Nutzer?

Im Rahmen einer Wirtschaftsprüfung sind zu viele Berechtigungen für Nutzer beziehungsweise Nutzergruppen ein häufig bemängelter Punkt. Ebenfalls stellt Unwissenheit ein nennenswertes Problem dar. Es kommt nicht selten vor, dass Nutzer aus Versehen Aktionen ausführen, die verschiedenste Konsequenzen mit sich führen können. Diese Probleme können anhand einer minimalen Berechtigung der Nutzer eingedämmt werden.

Was ist das Problem bei der Einführung minimal berechtigter Rollen?

Es existiert das Problem, dass die Nutzer in den Prozess einer neu zu erstellenden Rolle eingebunden werden müssen und damit Zeit und Geld verbraucht wird. Eine klassische Vorgehensweise sieht zum Beispiel so aus, dass Nutzer zunächst mitteilen, welche Transaktionen beziehungsweise Rechte sie benötigen und erhalten eine darauf zugeschnittene Rolle. Im Nachgang treten oftmals weiterhin Probleme in Bezug auf fehlende Berechtigungen auf, wodurch das Tagesgeschäft wiederum gestört wird. Aufgrund dieser Probleme liegt es Nahe, eine andere Strategie zur Neugestaltung einer Rolle zu verfolgen. Hierfür stelle ich Ihnen zunächst die technische Eigenschaft eines SAP-Systems zum Referenznutzer vor.

Der Referenznutzer

Zu jedem Nutzer in einem SAP-System kann ein Referenznutzer angegeben werden. Bei einer Berechtigungsprüfung werden daraufhin sowohl die Berechtigungen des Nutzers, als auch die des dazu definierten Referenznutzers geprüft. Damit die Berechtigungsprüfung erfolgreich beendet wird, genügt es, wenn einer der beiden die geforderte Berechtigung besitzt.

Welches Vorgehen empfehle ich Ihnen?

Um einen möglichst geringen Aufwand bei der Neugestaltung von SAP Rollen zu haben, lege ich Ihnen die Nutzung der Xiting Authorizations Management Suite nahe. Diese bietet ein riesiges Paket von verschiedensten Funktionen und nutzt dafür zum Teil das Konzept des Referenznutzers. Durch diese technische Eigenschaft eines SAP-Systems kann mittels der Xiting Authorizations Management Suite eine Aufzeichnung und Auswertung von echten Tracedaten eines Nutzers anhand einer Simulation auf dem realen Produktivsystem vorgenommen werden. Das Vorgehen sieht hierbei wie folgt aus:

XAMS Vorgehen bei der Erstellung minimal berechtigter SAP Rollen

Phase 1

In einer ersten Phase werden zunächst Tracedaten des Nutzers erstellt, auf dessen Basis im Anschluss mit der Xiting Authorizations Management Suite eine entsprechende Rolle generiert werden kann. Diese besitzt genau die Berechtigungen, die in den aufgezeichneten Tracedaten vermerkt worden sind. Die Konfiguration zur Aufzeichnung der Tracedaten geschieht in der ST03N.

Ihr Plan für bessere SAP Berechtigungen

In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.

Phase 2

In der zweiten Phase wird dem zu minimal berechtigendem Nutzer ein Referenznutzer zugewiesen, der die im ersten Schritt erstellte Rolle zugewiesen hat. Hierdurch können jegliche Berechtigungsprüfungen, die von dem Nutzer und seinem zugeschaltetem Referenznutzer ausgehen, verglichen werden. Im Anschluss kann aus diesen Daten ausgelesen werden, welche Berechtigungsprüfungen der Nutzer erfolgreich durchgeführt hat, sein zugeschalteter Referenznutzer jedoch nicht. Auf Basis dieser Daten kann die neu erstellte Rolle bei Bedarf noch erweitert werden.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

Phase 3

In der dritten und letzten Phase wird dem Nutzer schließlich die neu erstellte SAP Rolle zugewiesen. Die Xiting Authorizations Management Suite bietet als Airbag an, dass die alte Rolle des Nutzers im Notfall nochmals als Referenznutzer zugeschaltet werden kann und sichert somit die Fortführung des Tagesgeschäfts.

Haben Sie noch andere Vorgehensweisen zur Erstellung von minimal berechtigten SAP Rollen? Konnten Sie dieses Vorgehen bereits ausprobieren und haben Wünsche oder Verbesserungsvorschläge? Lassen Sie es mich wissen! Ich freue mich über Ihre Kommentare!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Torsten Schmits

Autor

Torsten Schmits

M. Sc. Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice